포트 스캔: Difference between revisions

From IT Wiki
No edit summary
Line 7: Line 7:
* [[UDP Open]]
* [[UDP Open]]
** 포트가 열려 있을 경우 응답이 오지 않는다.
** 포트가 열려 있을 경우 응답이 오지 않는다.
** 포트가 닫혀 있을 경우에는 ICMP Unreachable 패킷을 수신받는다.


==Stelth Scan==
==Stelth Scan==

Revision as of 15:11, 9 June 2019

개요

포트 스캔(port scan)은 운영 중인 서버에서 열려 있는 TCP/UDP 포트를 검색하는 것을 의미한다.
(RFC 2828)

Open Scan

  • TCP Open
    • 포트가 열려 있을 경우 SYN+ACK이 온다.
  • UDP Open
    • 포트가 열려 있을 경우 응답이 오지 않는다.
    • 포트가 닫혀 있을 경우에는 ICMP Unreachable 패킷을 수신받는다.

Stelth Scan

세션을 완전히 성립하지 않고 공격 대상 시스템의 포트 활성화 여부를 알아내기 때문에 대상 시스템에 로그가 남지 않는다.

  • TCP FIN Scan
    • FIN플래그를 설정하여 보낸다. 응답이 없으면 열려 있는 것으로 판단한다.
    • RST 패킷이 되돌아 오면 닫혀 있는 것이다.
  • NULL Scan
    • NULL 플래그를 설정하여 보낸다. 응답이 없으면 열려 있는 것으로 판단한다.
    • RST 패킷이 되돌아 오면 닫혀 있는 것이다.
  • Xmas Scan
    • 여러 플래그를 동시에 설정하여 한꺼번에 보낸다. 응답이 없으면 열려 있는 것으로 판단한다.
    • RST 패킷이 되돌아 오면 닫혀 있는 것이다.
  • SYN Scan
    • Open 스캔과 대비하여 Half-Open 스캔이라고도 부른다.
    • SYN을 보내 SYN+ACK이 오면 열린 것으로 판단하고, RST 패킷을 보내 접속을 끊어버린다.


Sweep

"훑어보다"라는 뜻으로, 특정 포트를 지정하여 Open 여부를 확인하는 것이 아니라, 취약한 포트 중 열린 포트가 있는지 광범위하게 훑어보기 위한 스캔을 말한다. 특정 취약한 포트가 열려 있는지 찾으려 여러 서버들을 훑어 보는 것도 포함된다. 방법론보단 행위의 목적에 대한 구분이다.